Un ex-empleado de Apple aprovechó un bug para robar archivos confidenciales al irse a OpenAI
Apple confirmó que un ex-empleado utilizó un bug de autenticación para descargar archivos sensibles de su red. El hecho ocurrió semanas después de su salida hacia OpenAI. La empresa no brindó detalles sobre la brecha de seguridad.
En un sorprendente giro de los acontecimientos, Apple reveló que un ex-empleado habría explotado un bug de autenticación para acceder a archivos confidenciales de la compañía, semanas después de haber dejado su puesto para unirse a OpenAI. La noticia se conoció el pasado viernes, cuando Apple presentó una demanda en la corte federal.
La denuncia se centra en el ex-empleado, Chang Liu, un ingeniero eléctrico de sistemas, quien supuestamente "explotó un bug raro y previamente desconocido" que le permitió acceder a la red de Apple, un tipo de vulnerabilidad conocida como zero-day, que no había sido corregida antes de que Liu la utilizara.
Apple afirmó que, tras descubrir la brecha, se tomó medidas inmediatas para cerrar el acceso y que el empleado fue despedido. Según la compañía, el bug podría haber permitido que "algunas otras personas" accedieran a datos en su red, aunque aseguraron que solo Liu aprovechó la vulnerabilidad para sustraer información confidencial.
Este incidente pone de relieve los desafíos que enfrentan las organizaciones para proteger sus datos sensibles después de que un empleado deja la empresa. Es común que las empresas busquen desactivar de inmediato el acceso a los sistemas de empleados salientes, pero si no se hace correctamente, pueden surgir brechas de seguridad y posibles filtraciones de datos.
La demanda detalla que Liu, durante su tiempo en OpenAI, accedió a "docenas de archivos confidenciales relacionados con hardware" de Apple. Estos documentos contenían información crítica sobre productos no lanzados, presentaciones de ingeniería, especificaciones técnicas y datos de proyectos propietarios.
Además, se alega que Liu no devolvió la laptop de trabajo que le había sido proporcionada por Apple, la cual podría haberle permitido seguir accediendo a los sistemas internos de la compañía. En su demanda, Apple mencionó que Liu había intentado acceder a su almacenamiento en red, un repositorio de archivos confidenciales, durante el mes de febrero de 2026.
Apple también hizo hincapié en que Liu no reportó el bug a la empresa, incumpliendo así sus obligaciones laborales. Esto generó inquietudes sobre cómo las empresas manejan el acceso a sus sistemas después de que un empleado se va, así como el uso de herramientas que podrían facilitar el acceso no autorizado a información sensible.
La situación se complica aún más al mencionar que Liu había utilizado el acceso de una conocida, Yu-Ting Peng, quien aún trabajaba en Apple, para acceder a los sistemas de la compañía mientras él ya no estaba empleado. Este acceso no autorizado podría haber permitido a Liu obtener información adicional que no le correspondía.
En su comunicación, Liu supuestamente expresó a Peng: "LOL, descubrí que puedo acceder al [almacenamiento de red], ¡qué divertido!". Esta revelación ha llevado a Apple a demandar a OpenAI en el Tribunal de Distrito de los Estados Unidos para el Distrito Norte de California en San José, exigiendo un juicio con jurado.
OpenAI, por su parte, ha declarado que no tiene interés en los secretos comerciales de otras empresas, lo que añade una capa de complejidad a este caso que, si avanza, podría comenzar este año.
Lectura rápida
¿Qué sucedió?
Un ex-empleado de Apple aprovechó un bug de autenticación para descargar archivos confidenciales tras dejar la empresa para unirse a OpenAI.
¿Quién está involucrado?
El ex-empleado, Chang Liu, y la empresa Apple, que ha presentado una demanda contra OpenAI.
¿Cuándo ocurrió?
El incidente se produjo semanas después de que Liu dejara Apple, específicamente durante febrero de 2026.
¿Dónde se presentó la demanda?
En el Tribunal de Distrito de los Estados Unidos para el Distrito Norte de California, en San José.
¿Por qué es relevante?
Este caso resalta la importancia de gestionar adecuadamente el acceso a la información sensible tras la salida de un empleado.






